Audits spécifiques
Audit de configuration
L’audit de configuration permet d’évaluer la conformité des paramètres de sécurité de logiciels, matériels ou systèmes d’exploitation.
Le but est de confronter le paramétrage d’un équipement aux critères de sécurité basés sur les normes constructeurs ou standards de sécurité afin d’identifier les risques liés aux défauts de configuration sur le système d’information.
L’audit de configuration s’adresse à tout organisme souhaitant évaluer la conformité de sa configuration vis-à-vis des bonnes pratiques et standards de sécurité.
Le livrable, récapitulant le périmètre audité avec des indicateurs de conformité, est fourni à la fin de la prestation.
Audit d’exposition
L’objectif est de définir la surface d’attaque d’une entreprise, constituée principalement de tous les éléments de son système d’information exposés sur internet.
La cartographie du périmètre (nom d’entreprise, noms de domaine, adresses IP) s’effectuera par des recherches passives, c’est-à-dire en utilisant uniquement des sources publiques sans interagir avec la cible, et par des recherches actives en interrogeant directement les actifs exposés sur internet.
Le but est de récupérer des informations techniques (noms de domaine, adresses IP, technologies utilisées, fuites de données sensibles, etc.) et organisationnelles sur l’entreprise (noms/prénoms et adresses mail des employés, adresse des locaux, structure de l’entreprise, prestataires, fournisseurs, etc..).
Le résultat de l’audit est fourni dans un rapport récapitulant l’ensemble des informations récoltées durant l’audit sur l’entreprise.
Cette prestation peut être le point de départ d’un audit de sécurité car il permet de définir le périmètre du système d’information exposé sur internet.